Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rn. 31 Stand: EL 188 – ET: 04/2026 Die Verwendung der Mitteilungen für Überprüfungen im Sozialbereich ist deutlich erweitert worden. War ursprünglich nur eine Mitteilung an die Bundesanstalt für Arbeit über die Zahl der Freistellungsaufträge vorgesehen, sah schon das StSenkG 1998 eine Mitteilung an alle Sozialleistungsträger (iSd §§ 18–29 SGB I) bei Einverständnis der betroff...mehr

Rn. 133 Stand: EL 188 – ET: 04/2026 Die zuständige Familienkasse hat gem Art 15 DSGVO der betroffenen Person auf deren Verlangen hin zu bestätigen, ob die Familienkasse personenbezogene Daten der betroffenen Person verarbeitet, V 9 S 1 DA-KG 2025. Ist dies der Fall, hat die betroffene Person ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art 15 Abs 1...mehr

Rz. 1 Bei § 31a AO handelt sich um einen Anwendungsfall des § 30 Abs. 4 Nr. 2 AO. Die Vorschrift erlaubt den Finanzbehörden, zur Bekämpfung der illegalen Beschäftigung einschließlich der Schwarzarbeit sowie des Leistungsmissbrauchs durch das Steuergeheimnis nach § 30 AO geschützte Daten von betroffenen Personen zu offenbaren. Seit dem 1.8.2002 besteht unter bestimmten Vorau...mehr

Rz. 62 In Bezug auf die Verpflichtung der Finanzbehörde, die betroffene Person vor Weitergabe ihrer geschützten Daten nach Art. 13 Abs. 3 DSGVO über die beabsichtigte Weiterverarbeitung zu informieren, geht der Gesetzgeber für die Fälle des § 31a Abs. 1 S. 1 Nr. 1 Buchst. a AO davon aus, dass hier ein Ausnahmetatbestand nach Art. 23 Abs. 1 DSGVO i. V. m. § 32a Abs. 1 Nr. 4 A...mehr

Gesetzestitel: Digitalpaket der Europäischen Union Stand im Gesetzgebungsverfahren Wesentliche Inhalte Das Digitalpaket birgt eine Vielzahl potentieller ...mehr

Rz. 51 Mit dem JStG 2024[1] hat der Gesetzgeber einen neuen S. 3 in § 31a Abs. 1 AO eingefügt. Danach ist es der für die Verwaltung einer Leistung aus öffentlichen Mitteln zuständigen Stelle erlaubt, auch von den Finanzbehörden erhaltene geschützte Daten an die für Straftaten im Zusammenhang mit der von ihr bewilligten Leistung zuständige Strafverfolgungsbehörde weiterzuleit...mehr

Rz. 3 § 31a AO sieht lediglich die Mitteilung – also Offenbarung – der geschützten Daten der betroffenen Person vor. Im Zuge der Anpassung auch des § 31a Abs. 1 AO an die Begrifflichkeiten der DSGVO (s. dazu Rz. 2) wurde in § 30 Abs. 4 AO die normierte Öffnungsbefugnis neben der Offenbarung auch auf die Verwertung der geschützten Daten erstreckt.[1] Diese Erweiterung hat der...mehr

Rz. 4 Die Offenbarungsbefugnis nach § 31a Abs. 1 AO bezieht sich auf nach § 30 AO geschützte Daten der betroffenen Person. Mit der vermeintlich nur redaktionellen Änderung des Begriffs "geschützte Verhältnisse" in "geschützte Daten" zum 25.5.2018 (s. zu Rz. 2) verbindet sich eine durchaus bedeutende Erweiterung der Öffnungsbefugnis. Anders als in § 30 Abs. 2 Nr. 1 AO, wo mi...mehr

Bei der Bereitstellung von Mobilgeräten sind die Vorgaben des Datenschutzrechts zu beachten. Dies gilt unabhängig davon, für welches Bereitstellungsmodell sich ein Unternehmen entscheidet, denn bei der Nutzung von Mobilgeräten für betriebliche Zwecke werden regelmäßig personenbezogene Daten von Mitarbeitern, Kunden oder Geschäftspartnern verarbeitet, etwa E-Mail-Adressen, Te...mehr

Die DSGVO normiert umfassende Informationspflichten[1], die den Arbeitgeber verpflichten, seine Mitarbeiter transparent über die Verarbeitung ihrer personenbezogenen Daten zu unterrichten. Diese Transparenzpflicht gewinnt im Kontext der Bereitstellung von Mobilgeräten besondere Bedeutung, da Mitarbeiter ein Interesse daran haben, zu erfahren, in welchem Umfang auf ihren Gerä...mehr

Gestattet der Arbeitgeber die private Nutzung betrieblicher Mobilgeräte, besteht die Frage, ob er dadurch zum Anbieter im Sinne des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) wird. Dies hätte zur Folge, dass der Arbeitgeber neben den Regeln des Datenschutzrechts zusätzlich auch das Fernmeldegeheimnis zu beachten hat. Das Fernmeldegeheimnis schützt den In...mehr

Abschließend sind personenbezogene Daten bei Beendigung der Gerätenutzung zu löschen. Nach den Grundsätzen der Speicherbegrenzung[1] dürfen personenbezogene Daten nur so lange gespeichert werden, wie dies für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Bei Beendigung des Arbeitsverhältnisses oder bei Rückgabe eines Mobilgeräts muss der Arbeitgeber daher sic...mehr

• 2021 Auskunftsersuchen gegenüber Dritten / § 93 Abs. 1 S. 3 AO Steht nicht fest, dass der Stpfl. nicht mitwirken wird, darf die FinVerw eine Auskunft bei Dritten ohne einen entsprechenden Versuch beim Stpfl. nur einholen, wenn die Erfolglosigkeit seiner Mitwirkung anzunehmen ist. Darauf kann die FinVerw aufgrund des bisherigen Verhaltens des Stpfl. bei konkret nachweisbaren...mehr

• 2021 DSGVO / Anwendungsbereich / Betroffenenrechte / § 32c AO Fraglich ist, ob die DSGVO im Steuerverfahren anwendbar ist. Das FG Niedersachsen hat dies mit Entscheidung v. 28.1.2020, 12 K 213/19 (VII R 12/20) mit der Begründung, dass die Vorschriften der DSGVO im Bereich des Steuerrechts nur im Rahmen der harmonisierten Steuern anwendbar seien, abgelehnt. In Übereinstimmun...mehr

• 2022 Informationeller Auskunftsanspruch von berichtspflichtigen Unternehmen / § 138a AO / Art. 15 DSGVO Es stellt sich die Frage, ob berichtspflichtige Unternehmen nach § 138a AO einen datenschutzrechtlichen Auskunftsanspruch gegen die FinVerw (BZSt) haben. Dies dürfte vor dem Hintergrund der Regelung in § 2a Abs. 5 AO zu bejahen sein. Zwar lehnt das BZSt eine Auskunft rege...mehr

Eine Hausverwaltung bezieht den Verwaltungsbeirat mit E-Mail (cc-Kopie) in sämtliche Vorgänge der laufenden Verwaltung mit ein, d. h. alles, was ein- und ausgeht, erhält der Beirat zur Kenntnis. Nun berufen sich andere Wohnungseigentümer auf eine Neutralitätsverletzung, da diese nicht über diese Vorgänge informiert werden. Sehen Sie hier eine Pflichtverletzung der Verwaltu...mehr

Fällt die Installation einer Videoüberwachung auch unter die Regelung in § 20 Abs. 2 Nr. 3 WEG (Einbruchsschutz)? Wenn ja, wie geht man dann mit dem Konflikt zu der bestehenden BGH-Rechtsprechung um, die eine Videoüberwachung in einer WEG nur unter strengen Voraussetzungen erlaubt? Ja. Tatsächlich besteht kein Konflikt, da die BGH-Rechtsprechung nur versucht, die Anforderun...mehr

Wie geht man mit Eigentümern ohne Computer um, die sich nur telefonisch einwählen können? Wenn der Beschluss (auch) diese Möglichkeit vorsieht, ist das nicht zu beanstanden. Was passiert, wenn einzelne Eigentümer nicht mit der Datenübertragung einverstanden sind bzw. sich nicht geäußert haben? Diese Frage ist derzeit rechtssicher nicht zu beantworten. Ich gehe davon aus, da...mehr

Angenommen, ein Wohnungseigentümer zeichnet eine Präsenzversammlung heimlich auf Video auf bzw. macht Tonaufnahmen. Auf Hinweis, dies zu unterlassen und zu löschen, verlässt er die Versammlung. Wie verhalte ich mich vor Ort und was ist im Nachgang zu tun. Anzeige? Löschung? Der Wohnungseigentümer hat sich rechtswidrig verhalten und strafbar gemacht. Er sollte vor Ort darauf...mehr

Gibt es eine Art Anleitung, wie man nach § 23 Abs. 2 WEG korrekt einen TOP-Vorschlag für einen Beschluss verfasst? Jein! Die korrekte Bezeichnung ist leider eine Frage des Einzelfalls. Die Eckpunkte sind die Folgenden: Die vorgesehenen Beschlussgegenstände sind in deutscher Sprache textlich so genau zu bezeichnen, dass die Wohnungseigentümer verstehen und überblicken können,...mehr

1) Gibt es Tätigkeiten, bei denen mehr als 10 % der Beschäftigten als Ersthelfer ausgebildet werden müssen? Ja. Das ist dann der Fall, wenn die Anzahl der anwesenden Beschäftigten sehr gering ist. Bei 2 bis 20 Beschäftigten ist ein Ersthelfer erforderlich. Folglich ist es z. B. bei Baustellenbetrieb oder Arbeiten unter Spannung erforderlich, dass bei einer 2-Mann-Kolonne ein ...mehr

Rz. 1 § 13 BUrlG enthält eine Kollisionsregelung für den Fall, dass Regelungen des Bundesurlaubsgesetzes (BUrlG) mit kollektiven Normen aus Tarifverträgen und Betriebsvereinbarungen oder mit Regelungen aus Arbeitsverträgen zusammentreffen. Die Bestimmungen des BUrlG sind grundsätzlich unabdingbar. Auch durch Tarifvertrag darf von den Regelungen der §§ 1, 2 und 3 Abs. 1 BUrlG ...mehr

Haben Sie heute schon KI-basierte Assistenzsysteme genutzt und anschließend "zur Sicherheit" analog oder über eine der gängigen Datenbanken überprüft? Haben Sie auch Hemmungen, personalisierte Schriftstücke hoch zu laden, auch wenn die Anbieter absolute DSGVO-Konformität versprechen? Und haben Sie überhaupt die richtigen Fragen an die KI gestellt? Ach ja, es heißt ja nicht f...mehr

Neben dem Berufsrecht bleibt gem. § 62a Abs. 8 StBerG auch die Datenschutz-Grundverordnung (DSGVO) anwendbar. Daraus folgt, dass es bei personenbezogenen Daten auch einer Rechtfertigung gem. Art. 28 DSGVO durch einen Auftragsverarbeitungsvertrag oder nach Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO einer Einwilligung des Betroffenen bedarf. Die Nutzung von personenbezogenen Mandatsd...mehr

Überblick Der Einsatz von KI-Modulen bietet große Chancen für den Einsatz in Steuerberatungskanzleien. Dieses sind dabei als dienendes Werkzeug zu verstehen und ihre Ergebnisse steht zu überprüfen. Für die Anwendung an sensiblen Informationen sind Auftragsverarbeitungsverträge gem. Art 28 DSGVO sowie Dienstleistungsverträge gem. § 62a StBerG zu schließen oder die Daten sorgf...mehr

Die Verschwiegenheit der Steuerberater ist vielseitig festgeschrieben und abgesichert. Sie ist ein hohes Gut und Ausprägung des besonderen Vertrauensverhältnisses zwischen Steuerberater und Mandant. Der Mandant muss darauf vertrauen können, dass die von ihm gegebenen Informationen vom Steuerberater nur auftragsgemäß verarbeitet und weitergegeben werden. So konkretisiert § 57...mehr

Art. 50 Abs. 6 KI-VO stellt klar, dass sonstige Transparenzpflichten unberührt bleiben. Eine berufsrechtliche Pflicht zur Offenlegung der persönlichen Arbeitsweise besteht zurzeit nicht, mithin auch keine Pflicht den internen Einsatz von KI-Modellen offenzulegen. Dies bleibt jedoch beschränkt auf die Bereiche in denen keine Einwilligung eingeholt werden muss, sei es gem. § 6...mehr

Unbestritten ist, dass die Künstliche Intelligenz (KI) nicht nur über die internationale Wettbewerbsfähigkeit der Unternehmen bestimmen wird. Auch kleinere und mittelständische Unternehmen müssen sich mittelfristig im nationalen Wettbewerb an ihrer KI-Kompetenz messen lassen. Fakt ist allerdings, dass Sie dabei auf die Kompetenzen und die individuelle Flexibilität Ihrer einz...mehr

Maßgeblich im Bereich des Datenschutzrechts sind vor allem die Bestimmungen der Art. 82, 83 DSGVO. Danach ziehen Ordnungswidrigkeitstatbestände [1], die abhängig von dem jeweiligen formellen oder materiellen datenschutzrechtlichen Verstoß Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweit erzielten Jahresumsatzes, bzw. bis zu 20 Mio. EUR oder 4 % des weltweit erzielten Jah...mehr

In Art. 5 Abs. 1b DSGVO ist das sogenannte Prinzip der Zweckbindung verankert. Dementsprechend ergibt sich aus Art. 17 Abs. 1 DSGVO ein Recht auf "unverzügliche" Löschung der Daten, wenn die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr vorliegen. Zweckfortfall ist damit eine erste wichtige Fallgruppe, in denen Löschpflichten bestehen. Ein klassisches ...mehr

Fraglich ist, ob die Vorgaben der DSGVO und des BDSG auch für noch traditionell in Papierform geführte Personalakten gilt. Die Rechtsprechung äußerte Zweifel. "In Art. 2 Abs. 1 und Art. 4 Nr. 6 DSGVO wird der Begriff der Dateisysteme zugrunde gelegt. Unabhängig von der Frage, ob dieser Begriff zwischen automatisierten und nicht automatisierten Vorgängen unterscheidet (dazu et...mehr

Überblick Das Thema Datenschutz stellt in der Arbeitswelt einen Dauerbrenner dar. Insbesondere durch die Verabschiedung der Datenschutzgrundverordnung (DSGVO) und erweiterten Pflichten nach dem Bundesdatenschutzgesetz (BDSG), muss der Arbeitgeber bei der Führung der Personalakten zahlreiche gesetzliche Vorgaben berücksichtigen. Ein wesentlicher Teilbereich dieser Vorgaben si...mehr

In der arbeitsrechtlichen Praxis gewinnt zunehmend das sog. "Datenschutz-Hopping" an Bedeutung. Dabei machen insbesondere (abgelehnte) Bewerber, teilweise aber auch (ehemalige) Arbeitnehmer gezielt Ansprüche nach Art. 15 Abs. 1 DSGVO geltend, ohne dass ein ernsthaftes Interesse an der Auskunft besteht. Ziel ist vielmehr, Datenschutzverstöße zu provozieren, um anschließend Sc...mehr

Im Datenschutz maßgeblich sind vor allem die Regelungen der DSGVO sowie das BDSG. In § 26 BDSG wird dabei speziell die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses geregelt. Zu beachten ist allerdings, dass der EuGH § 26 BDSG für europarechtswidrig erklärt hat, demzufolge sind sämtliche Maßnahmen im Rahmen des Beschäftigtendatenschutzes zumindest auch auf Art...mehr

Die Löschpflichten nach Art. 17 DSGVO beruhen vor allem auf den folgenden Erwägungsgründen: "Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. […] Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert wer...mehr

Löschpflichten ergeben sich auch aus dem BDSG, das neben der DSGVO weiterhin Anwendung findet. Es erweitert die Pflichten des Arbeitgebers, schafft daneben aber auch Ausnahmen von der Löschpflicht nach Art. 17 Abs. 1 DSGVO. Teilweise ergeben sich aus den Regelungen gleiche oder jedenfalls vergleichbare Pflichten. So besteht nach § 26 Abs. 1 Satz 1 BDSG genau wie bei Art. 17 A...mehr

Soweit gesetzliche Aufbewahrungspflichten bestehen, ist die Speicherung der Arbeitnehmerdaten durch § 26 Abs. 1 Satz 1 BDSG legitimiert.[1] Personenbezogene Daten von Beschäftigten dürfen auch nach der Beendigung des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Ausübung oder Erfüllung der sich aus einem Gesetz, einem Tarifvertrag oder einer Kollektivvere...mehr

Soweit Löschpflichten bestehen, stellt sich die Frage, was überhaupt unter dem Begriff "Löschen" zu verstehen ist. In den aktuellen Gesetzen finden sich keine klaren Angaben dazu, welche Anforderungen an das "Löschen" von Daten gestellt werden. Aus dem Wortlaut des Art. 4 Nr. 2 DSGVO geht zumindest hervor, dass keine "Vernichtung" notwendig ist, da sich beide Begriffe in den ...mehr

Hinweis Defintion: Aufbewahrungspflicht Aufbewahrungspflicht meint die Pflicht des Arbeitgebers, bestimmte geschäftliche Unterlagen in einer geordneten Form aufzubewahren, um diese bei einem berechtigten Verlangen Dritter, beispielsweise einer Betriebsprüfung durch das Finanzamt, vorlegen zu können.[1] Während des bestehenden Arbeitsverhältnisses trifft den Arbeitgeber neben d...mehr

Gerade vor dem Hintergrund bereits wiederholt in Millionenhöhe verhängter Bußgelder wird ein gutes Aufbewahrungs- bzw. Löschmanagementkonzept für Arbeitnehmerdaten immer bedeutender. Abschreckende Beispiele sind hierbei Fälle mit Millionenbußgeldern bei der "Deutsche Wohnen" und "1&1". Zwar lagen den dortigen Fällen keine arbeitsrechtlichen Datenschutzverstöße zugrunde – die...mehr

Rz. 24 Modellvorhaben nach Abs. 1 können insbesondere informationstechnische und organisatorische Verbesserungen der Datenverarbeitung, einschließlich der Erweiterungen der Befugnisse zur Verarbeitung von personenbezogenen Daten betreffen (Satz 1). Rz. 24a Die bisherige Begriffstrias der Erhebung, Verarbeitung und Nutzung wird redaktionell an die Begriffsbestimmung des Art. 4...mehr

Rz. 34 Die Krankenkassen stellen den Versicherten neben der elektronischen Gesundheitskarte eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung (Satz 1). Die Krankenkassen sind befugt, für die Identifizierung Daten aus dem Personalausweis oder dem Pass auszulesen und zu verarbeiten (Satz 2). Die digitale Identität ist nicht an eine Chipkarte g...mehr

Rz. 11 Primärpräventive Leistungen beziehen sich auf die Veränderung des individuellen Verhaltens und auf die Veränderung der Verhältnisse in den Lebenswelten der Versicherten. Dementsprechend werden als Leistungen erbracht: Leistungen zur verhaltensbezogenen Prävention nach Maßgabe von Abs. 5, Leistungen zur Gesundheitsförderung und Prävention in Lebenswelten für in der geset...mehr

Rz. 33 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 40 Die Modellvorhaben sind im Regelfall auf längstens 8 Jahre zu befristen (Satz 1). Für eine längere Laufzeit ist eine Begründung erforderlich. Die zeitliche Höchstgrenze soll verhindern, dass Modellvorhaben zweckentfremdet und bestimmte Versorgungsstrukturen oder Leistungsangebote dauerhaft ohne Bewertung ihrer Auswirkungen eingeführt werden (BT-Drs. 13/6087 S. 27). Un...mehr

Rz. 34 Die mit dem Siebten Gesetz zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze v. 12.6.2020 (BGBl. I S. 1248) eingefügten weiteren Sätze (Sätze 2 ff.) traten aufgrund Art. 2e des Gesetzes zur Umsetzung der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen und zu...mehr

Rz. 61 Abs. 6 Satz 5 verpflichtet das Bundesinstitut für Arzneimittel und Medizinprodukte zur Erstellung einer bis zum 31.3.2022 laufenden nichtinterventionellen Begleiterhebung, die dazu dient, Erkenntnisse über die Wirkung von Cannabis zu medizinischen Zwecken zu gewinnen. Hierdurch soll eine Grundlage für die Entscheidung über die dauerhafte Aufnahme in die Versorgung ges...mehr

Rz. 11 Ausschließlich die gematik ist (ergänzend zu § 311 Abs. 1 Nr. 10) berechtigt und verpflichtet, Zugangswege zu elektronischen Verordnungen über mobile Endgeräte zu entwickeln und zur Nutzung anzubieten (Satz 1). Gleichzeitig stellt sie die Funktionalität und Interoperabilität sicher (Satz 2). Die Sicherheit ist durch ein externes Gutachten nachzuweisen (Satz 3, 4). Die...mehr

Rz. 15 Die gematik legt die Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten nach den Abs. 6 und 7 fest (Satz 1). Dazu setzt sich die gematik mit dem BSI und dem BfDI auf Basis der jeweils gültigen Technischen Richtlinien des BSI ins Benehmen (Satz 2). Rz. 16 Das ursprünglich herzustellende Einvernehmen wird zugunsten der Herstellung des Benehme...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 32a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2024. Rz. 2 Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Tel...mehr